私は私のLinuxボックスです特定のドメインに対する多くのDNSクエリ(サブドメイン)malicious.foo.bar
どうすればわかりますか?任意のアプリケーションまたはプロセスドメインを確認しますか?
https://malicious.foo.bar/baz.phpまた、このプロセスで要求された正確なURL(例:)とペイロードを確認するための要求のいくつかの詳細を表示したいと思います。
これを実現するにはどのような措置を講じるべきですか?
答え1
誰も答えなかったので、ここにいくつかの考えがあります。
クライアントプロセスはを通じて間接的にDNSを確認します/etc/resolv.conf。通常、これにはループバックIPアドレスまたはリゾルバの直接IPアドレスがあります。
iptables発信者のプロセスIDをキャプチャするには、アウトバウンドまたはループバックトラフィックのロギングエントリを追加します(該当する場合)。
その後、カーネルログファイルを追跡し、その情報を使用して実際のプロセスを確認できます。
引用する